La définition des « données biométriques » du RGPD englobe tous les types d’analyses des  caractéristiques morphologiques (empreinte digitale, forme de la main, iris…), biologiques (salive, sang, ADN…) ou comportementales (démarche…). Etant donné le caractère particulièrement invasif de tels procédés qui ne se font de plus que dans des contextes très particuliers (actions en recherche de paternité, des enquêtes judiciaires, etc.), la Commission a pris parti d’exclure totalement leur utilisation à des fins de contrôle d’accès aux locaux professionnels et aux outils de travail. En revanche, le règlement type de la CNIL ne prévoit pas d’obligation, pour les employeurs, de privilégier le recours à certaines caractéristiques biométriques plutôt qu’à d’autres (empreinte digitale, réseau veineux d’une main, image de l’iris, visage…). Il appartiendra donc aux responsables de traitement d’effectuer et de justifier le choix d’une ou des caractéristiques biométriques requises.